CentOS linux 安装openssl(openssl拒绝服务漏洞【CVE-2022-0778】解决)

一、安装

1.下载相关openssl包

下载地址: https://www.openssl.org/source/

2.将下载好的压缩包放到 /app/server/nginx 路径下(根据自己实际需求定义)

3.切换至该路径

cd /app/server/nginx

4.压缩包解压

压缩包解压 :tar -zxvf openssl-3.0.0.tar.gz

5.切换到解压后的路劲

cd openssl-3.0.0

6.查看一下原安装版本

openssl version -a

7.设置配置

./config --prefix=/usr/local/openssl3.0.0 --openssldir=/usr/local/openssl3.0.0 shared zlib

①可能出现错误

1)安装gcc(编译依赖 gcc 环境)

yum install gcc-c++

2)安装 PCRE pcre-devel (包括 perl 兼容的正则表达式库)

yum install -y pcre pcre-devel

3)安装zlib(对 http 包的内容进行 gzip)

yum install -y zlib zlib-devel

②还可能出现的错误

Cant't locate IPC/Cmd.pm .......

需安装perl-IPC-Cmd包

执行命令

yum -y install perl-IPC-Cmd

8.编译安装(编译安装完不报错将会安装到 /usr/local/openssl3.0.0)

make
make install

二、配置链接库

1.在目录/etc/ld.so.conf.d目录下创建一个名为openssl-3.0.0.conf的文件

cd /etc/ld.so.conf.d
vim openssl-3.0.0.conf

2.输入(i:启用编辑,esc:退出编辑,:wq:保存退出,:q!:不保存退出)

/usr/local/openssl3.0.0/lib64

3.创建软链接

ln -s /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/
ln -s /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/

若报已存在(File exist),则进行覆盖

ln -sf /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/ln -sf /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/

4.重新加载动态链接

ldconfig -v

三、配置环境变量

1.备份旧的配置(/usr/bin/openssl为上个版本安装路径,此处为系统默认路径)

mv /usr/bin/openssl /usr/bin/openssl.backup

2.创建环境变量文件

vim /etc/profile.d/openssl.sh

3.写入

#Set OPENSSL_PATH
OPENSSL_PATH="/usr/local/openssl3.0.0/bin"
export OPENSSL_PATH
PATH=$PATH:$OPENSSL_PATH
export PATH

4.执行openssl.sh 文件,并输出环境变量

chmod +x /etc/profile.d/openssl.sh
source /etc/profile.d/openssl.sh
echo $PATH

5.检查OpenSSL位置

which openssl

6.检查系统配置

openssl version -a

2022-03-15

openssl出现拒绝服务漏洞【CVE-2022-0778】

由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。

影响范围:

OpenSSL版本1.0.2:1.0.2-1.0.2zc

OpenSSL版本1.1.1:1.1.1-1.1.1m

OpenSSL版本 3.0:3.0.0、3.0.1

官方修复提交记录:

https://github.com/openssl/openssl/commit/9eafb53614bf65797db25f467946e735e1b43dc9#

解决办法:

openssl3.0.0升级到->openssl3.0.2

与上述安装步骤一致(将其中的其中openssl3.0.0修改为openssl3.0.2)

其中注意事项:

  • 创建软链接时,需进行覆盖

  • ln -sf /usr/local/openssl3.0.2/lib64/libssl.so.3 /usr/lib64/
    ln -sf /usr/local/openssl3.0.2/lib64/libcrypto.so.3 /usr/lib64/
    
  • 备份时,需将路径修改为上次安装openssl的路径

  • mv /usr/local/openssl3.0.0 /usr/bin/openssl.backup
    
  • 升级完毕后,如果使用的nginx做服务分发代理,nginx需重新编译安装,其中openssl依赖路径修改为最新路径(nginx安装可看:CentOS linux安装nginx


结束

posted @ 2021-12-02 11:38  丿似锦  阅读(1400)  评论(0编辑  收藏  举报